« Google Workspace 自定义管理员角色已创建 匿名用户访问 Google Workspace 云盘加密密钥 »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和警报 预构建规则参考

Google Workspace 自定义 Gmail 路由创建或修改

编辑

Google Workspace 自定义 Gmail 路由创建或修改

编辑

检测在 Google Workspace 中添加或修改自定义 Gmail 路由的情况。攻击者可以添加自定义的出站邮件路由,将这些电子邮件路由到他们选择的收件箱以进行数据收集。这允许攻击者捕获电子邮件中的敏感信息和潜在附件,例如发票或付款文件。默认情况下,来自当前 Google Workspace 用户帐户的所有电子邮件都会通过域的邮件服务器进行入站和出站邮件路由。

规则类型: 查询

规则索引:

  • filebeat-*
  • logs-google_workspace*

严重性: 中

风险评分: 47

运行频率: 10 分钟

搜索索引起始时间: now-130m (日期数学格式,另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 域: 云
  • 数据源: Google Workspace
  • 策略: 收集
  • 资源: 调查指南

版本: 107

规则作者:

  • Elastic

规则许可: Elastic License v2

调查指南

编辑

分类和分析

调查 Google Workspace 自定义 Gmail 路由创建或修改

Gmail 是由 Google 开发和管理的流行的基于云的电子邮件服务。Gmail 是 Google Workspace 帐户用户可使用的众多服务之一。

威胁行为者通常会向企业 Gmail 帐户发送包含恶意 URL 链接或附件的网络钓鱼电子邮件。Google Workspace 身份依赖于企业用户 Gmail 帐户,如果被盗,则允许威胁行为者从有效的用户帐户进一步开展入侵活动。

此规则会识别 Google Workspace 管理控制台中管理员创建的自定义全局 Gmail 路由。自定义电子邮件路由可能表明有人试图秘密地将敏感电子邮件转发给非预期的收件人。

可能的调查步骤

  • 识别创建自定义电子邮件路由的用户帐户,并验证他们是否应具有管理权限。
  • 查看自定义电子邮件路由中添加的收件人以及潜在电子邮件内容的机密性。
  • 识别用户帐户,然后查看过去 48 小时内相关活动的 event.action 值。
  • 如果 Google Workspace 许可证是 Enterprise Plus 或 Education Plus,请搜索与路由过滤器匹配的电子邮件。要查找 Gmail 事件日志,请转到 报告 > 审核和调查 > Gmail 日志事件
  • 如果已发送现有电子邮件并符合自定义路由标准,请查看发件人和内容中是否存在恶意 URL 链接和附件。
  • 可以将识别出的 URL 或附件提交给 VirusTotal 以获取信誉服务。

误报分析

  • 此规则搜索在 Google Workspace 管理控制台中创建的域范围内的自定义电子邮件路由。管理员可能会创建自定义电子邮件路由以满足组织要求。

响应和补救

  • 根据分类的结果启动事件响应流程。
  • 在调查和响应期间禁用或限制该帐户。
  • 确定事件的可能影响并进行相应的优先级排序;以下操作可以帮助你了解上下文
  • 识别云环境中帐户的角色。
  • 评估受影响的服务和服务器的严重性。
  • 与你的 IT 团队合作,识别并最大程度地减少对用户的影响。
  • 确定攻击者是否正在横向移动并危害其他帐户、服务器或服务。
  • 确定与此活动相关的任何监管或法律影响。
  • 调查攻击者入侵或使用的系统上的凭据暴露情况,以确保识别出所有受损帐户。根据需要重置密码或删除 API 密钥,以撤销攻击者对环境的访问权限。在此操作期间,与你的 IT 团队合作以尽量减少对业务运营的影响。
  • 查看分配给受牵连用户的权限,以确保遵循最小权限原则。
  • 实施 Google 概述的安全最佳实践。
  • 确定攻击者滥用的初始载体,并采取行动以防止通过相同载体再次感染。
  • 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

关于 Google Workspace 事件延迟时间的重要信息

  • 根据 Google 的文档,Google Workspace 管理员可能会观察到事件发生时间与事件在 Google Workspace 管理/审计日志中可见的时间之间存在几分钟到 3 天的延迟时间。
  • 此规则配置为每 10 分钟运行一次,回溯时间为 130 分钟。
  • 为了降低误报的风险,请考虑缩短 Google Workspace(以前称为 G Suite)Filebeat 模块轮询 Google 报告 API 以获取新事件的间隔。
  • 默认情况下,var.interval 设置为 2 小时 (2h)。请考虑将此间隔更改为较低的值,例如 10 分钟 (10m)。
  • 有关详细信息,请参阅以下参考
  • https://support.google.com/a/answer/7061566
  • https://elastic.ac.cn/guide/en/beats/filebeat/current/filebeat-module-google_workspace.html

设置

编辑

此规则需要 Google Workspace Fleet 集成、Filebeat 模块或类似结构的兼容数据。

规则查询

编辑
event.dataset:"google_workspace.admin" and event.action:("CREATE_GMAIL_SETTING" or "CHANGE_GMAIL_SETTING")
  and google_workspace.event.type:"EMAIL_SETTINGS" and google_workspace.admin.setting.name:("EMAIL_ROUTE" or "MESSAGE_SECURITY_RULE")

框架: MITRE ATT&CKTM

« Google Workspace 自定义管理员角色已创建 匿名用户访问 Google Workspace 云盘加密密钥 »